Когда отключают моб инет то РКН не при делах, это делают сами операторы по требованию (хз кого если честно, это не эксперимент, это против дронов), но щас чаще всего включают белые списки (где-то постоянно с сентября, где-то только по ночам), хотя есть и города где включено замедление инета до 0.1мбит/с
Согласен. Дыры могут быть как и в софте для обхода блокировок, так и в firewall ТСПУ. Плюс существуют неочевидные способы проксирования трафика как например прокси через CDN google (трафик не отличим от запроса к google.com кроме объёма, но есть проблема в цене)
"Так что вот так вот взять и зарубить хендшейк golang" в Туркменистане так сделали (+ зачем-то хендшейк Firefox) ещё в 2021г, до того как в xray были добавлены fingerprint браузеров, блокировка действовала даже на айпи внутри страны (т.е. firefox не открывал даже местные сайты), и это ещё наверное только 10% от блокировок в стране, там самый жёсткий интернет цензор, ру цензоры в последнее время напоминают блокировки Туркменистана (например работает сайт PlayStation т.к. он в белом списке, но сама консоль не может подключиться)
Во первых AmneziaWG в реале не заблокирован, даже старые версии заводятся правильными параметрами Junk, а новые с фейк пакетами от QUIC работают еще лучше.
Во вторых чистый VLESS сам по себе ничего не маскирует, он как SOCKS5, однако можно добавить http или websocket заголовки или TLS. (А ниже в статье все таки написали что vless все таки ничего не маскирует, после того как уже написали что он маскируется под веб, ну вы читаете что пишете вообще? Нет, не читаете, дальше вообще орфографические ошибки полезли)
Brutal в hysteria2 мне не понравился: ему пофиг на потери пакетов, но он начинает тратить трафик в никуда (снижать скорость внутри тунеля но не вне него) при jitter (даже 10мс сильно влияет) и reordering пакетов. BBR там тоже кривой: на моей сети в 20мбит/с он почему-то передаёт данные на скорости 32мбит/с, все что вне туннеля просто падает при использовании его на макс скорости, это какая-то dos атака получается. BBR и brutal модули для ядра линукс (а не ядра QUIC в hysteria2) работают гораздо лучше
"Если цензор отбрасывает 20% пакетов" - у цензора никогда небыло и не будет такой цели т.к. результаты непредсказуемы.
"Когда ждать блокировку?" - На многие направления трафика (даже в ру) блокируется трафик при обнаружении >10 TLS сессий установленных за короткое время (сибирская блокировка), пока что блокировок из-за описанных вами дыр небыло
Как минимум разрешение на получение списка установленных приложений и прослушивание (открытие) порта не нужны (тут уже была статья как приложения яндекса открывали порт и ждали на него подключения со скрипта Яндекс метрики в браузере, что позволяло собирать инфу даже в инкогнито, и кстати прога тбанка тоже открывает порт но хз зачем)
Блокировки данных (и не только) хостеров могут быть не постоянны и отличаются от провайдера к провайдеру (больше всего на моб), но они есть прямо сейчас. На них действуют белые списки доменов sni и http host, поэтому популярные сервисы продолжают работать, но все равно пострадали тысячи сайтов, сервисов и онлайн игр.
Пару недель были ограничены даже РУ серверы хостинга timeweb, но блокировка включалась только после определенных триггеров (например торрент трафика, который скорее всего как-то неверно классифицировался как впн).
Можете попробовать фокус: проверьте эти сайты на DO (https://genderize.io) и OVH (https://bm7.ppy.sh), если они у вас открылись то зайдите на http://23.251.49.123, после ошибки браузера перезапустите его полностью и проверьте сайты выше снова, они должны заблокироваться на 10 минут (динамическая блокировка)
Не вижу проблемы, уменьшить объем такого лога довольно легко. Однако логов на ТСПУ кажется реально нет либо их никогда не смотрят, ведь после введения белых списков на cloudflare/aws/DO/hetzner/... я часто сталкиваюсь с их кривизной (сайт xxx.com в белом списке, но туда забыли добавить шрифты или css стили и т.п.)
скажу больше, в туркменистане логируют попытки входа и трафик на ВСЕ ресурсы: если поднять личный впн/прокси в европе и пользоваться им лично, не раскрывая вообще никому, то айпи адрес будет заблокирован т.к. логируется вообще всё (по слухам даже история поиска в гугле когда запросы по http), только там кажется тоже не смотрят на логи и просто жмут "блокнуть всё подозрительное" что уже давало блокировки: спидтест сервера местного провайдера, сайтов местного бизнеса, сервера проверки инета андроида из-за чего система несколько недель думала что на wifi нету инета (и это только малая часть блокировок)
приложение на андроид обращается к https://d1vq87e9lcf771.cloudfront.net/ за аудио, а он на моб инете у меня в полном блоке (должен быть AccessDenied на странице, но даже он не подгружается), через впн естественно начинает работать.
На таком же типе доменов qwerty1234.cloudfront.net работает twitch и я видел на него недавно жалобы, видимо та же самая блокировка: скорее всего белый список доменов как уже сделано для cloudflare и некоторых других, что сломало множество сервисов и игр из-за того что они не попали в белый список/попали но частично (например в белом списке ТСПУ есть домен игры osu.ppy.sh, но не сервер для мультиплеера spectator.ppy.sh)
Ркн уже тестировали блокировку множества тлс сессий (>12) к одному серверу
были единичные сообщения о том что ТСПУ сверяет SNI и IP и временно банит ip сервера при несоответствии (сам не поймал этот блок к сожалению)
вы ставите nltimes.nl для "маскировки", которая на самом деле только лишь палит ваш прокси из вне: очевидно что nltimes не будет висеть на какой-то рандомной впске, которая к тому же становится зеркалом на cloudflare (nltimes на cloudflare), в некоторых случаях это даже позволяет использовать вашу впс как прокси для любого сайта на cloudflare (но для определения что это зеркало это не важно)
Когда отключают моб инет то РКН не при делах, это делают сами операторы по требованию (хз кого если честно, это не эксперимент, это против дронов), но щас чаще всего включают белые списки (где-то постоянно с сентября, где-то только по ночам), хотя есть и города где включено замедление инета до 0.1мбит/с
чистый WG на зарубежный сервер?
а это очень странно, его блокировка началась еще в 2023г. OpenVPN работает только на домашнем инете и только с tls-crypt.
Согласен. Дыры могут быть как и в софте для обхода блокировок, так и в firewall ТСПУ. Плюс существуют неочевидные способы проксирования трафика как например прокси через CDN google (трафик не отличим от запроса к google.com кроме объёма, но есть проблема в цене)
"Так что вот так вот взять и зарубить хендшейк golang" в Туркменистане так сделали (+ зачем-то хендшейк Firefox) ещё в 2021г, до того как в xray были добавлены fingerprint браузеров, блокировка действовала даже на айпи внутри страны (т.е. firefox не открывал даже местные сайты), и это ещё наверное только 10% от блокировок в стране, там самый жёсткий интернет цензор, ру цензоры в последнее время напоминают блокировки Туркменистана (например работает сайт PlayStation т.к. он в белом списке, но сама консоль не может подключиться)
Во первых AmneziaWG в реале не заблокирован, даже старые версии заводятся правильными параметрами Junk, а новые с фейк пакетами от QUIC работают еще лучше.
Во вторых чистый VLESS сам по себе ничего не маскирует, он как SOCKS5, однако можно добавить http или websocket заголовки или TLS. (А ниже в статье все таки написали что vless все таки ничего не маскирует, после того как уже написали что он маскируется под веб, ну вы читаете что пишете вообще? Нет, не читаете, дальше вообще орфографические ошибки полезли)
Brutal в hysteria2 мне не понравился: ему пофиг на потери пакетов, но он начинает тратить трафик в никуда (снижать скорость внутри тунеля но не вне него) при jitter (даже 10мс сильно влияет) и reordering пакетов. BBR там тоже кривой: на моей сети в 20мбит/с он почему-то передаёт данные на скорости 32мбит/с, все что вне туннеля просто падает при использовании его на макс скорости, это какая-то dos атака получается. BBR и brutal модули для ядра линукс (а не ядра QUIC в hysteria2) работают гораздо лучше
"Если цензор отбрасывает 20% пакетов" - у цензора никогда небыло и не будет такой цели т.к. результаты непредсказуемы.
"Когда ждать блокировку?" - На многие направления трафика (даже в ру) блокируется трафик при обнаружении >10 TLS сессий установленных за короткое время (сибирская блокировка), пока что блокировок из-за описанных вами дыр небыло
Как минимум разрешение на получение списка установленных приложений и прослушивание (открытие) порта не нужны (тут уже была статья как приложения яндекса открывали порт и ждали на него подключения со скрипта Яндекс метрики в браузере, что позволяло собирать инфу даже в инкогнито, и кстати прога тбанка тоже открывает порт но хз зачем)
Нажал кнопку лога чтобы прочитать заново, а кнопка закрытия лога видимо не влезла в экран телефона, нажал назад и все закрылось ;(
Ещё DigitalOcean, Hetzner, Contabo, OVH, Melbicom (даже ру серверы), Oracle, AWS, Fastly, Akamai, CDN77, Scaleway.
Блокировки данных (и не только) хостеров могут быть не постоянны и отличаются от провайдера к провайдеру (больше всего на моб), но они есть прямо сейчас. На них действуют белые списки доменов sni и http host, поэтому популярные сервисы продолжают работать, но все равно пострадали тысячи сайтов, сервисов и онлайн игр.
Пару недель были ограничены даже РУ серверы хостинга timeweb, но блокировка включалась только после определенных триггеров (например торрент трафика, который скорее всего как-то неверно классифицировался как впн).
Можете попробовать фокус: проверьте эти сайты на DO (https://genderize.io) и OVH (https://bm7.ppy.sh), если они у вас открылись то зайдите на http://23.251.49.123, после ошибки браузера перезапустите его полностью и проверьте сайты выше снова, они должны заблокироваться на 10 минут (динамическая блокировка)
Не вижу проблемы, уменьшить объем такого лога довольно легко. Однако логов на ТСПУ кажется реально нет либо их никогда не смотрят, ведь после введения белых списков на cloudflare/aws/DO/hetzner/... я часто сталкиваюсь с их кривизной (сайт xxx.com в белом списке, но туда забыли добавить шрифты или css стили и т.п.)
скажу больше, в туркменистане логируют попытки входа и трафик на ВСЕ ресурсы: если поднять личный впн/прокси в европе и пользоваться им лично, не раскрывая вообще никому, то айпи адрес будет заблокирован т.к. логируется вообще всё (по слухам даже история поиска в гугле когда запросы по http), только там кажется тоже не смотрят на логи и просто жмут "блокнуть всё подозрительное" что уже давало блокировки: спидтест сервера местного провайдера, сайтов местного бизнеса, сервера проверки инета андроида из-за чего система несколько недель думала что на wifi нету инета (и это только малая часть блокировок)
приложение на андроид обращается к https://d1vq87e9lcf771.cloudfront.net/ за аудио, а он на моб инете у меня в полном блоке (должен быть AccessDenied на странице, но даже он не подгружается), через впн естественно начинает работать.
На таком же типе доменов qwerty1234.cloudfront.net работает twitch и я видел на него недавно жалобы, видимо та же самая блокировка: скорее всего белый список доменов как уже сделано для cloudflare и некоторых других, что сломало множество сервисов и игр из-за того что они не попали в белый список/попали но частично (например в белом списке ТСПУ есть домен игры osu.ppy.sh, но не сервер для мультиплеера spectator.ppy.sh)
Ркн уже тестировали блокировку множества тлс сессий (>12) к одному серверу
были единичные сообщения о том что ТСПУ сверяет SNI и IP и временно банит ip сервера при несоответствии (сам не поймал этот блок к сожалению)
вы ставите nltimes.nl для "маскировки", которая на самом деле только лишь палит ваш прокси из вне: очевидно что nltimes не будет висеть на какой-то рандомной впске, которая к тому же становится зеркалом на cloudflare (nltimes на cloudflare), в некоторых случаях это даже позволяет использовать вашу впс как прокси для любого сайта на cloudflare (но для определения что это зеркало это не важно)
после этого вы всё равно пишете "VLESS + Reality это база", серьезно? с таким конфигом, для определения что у вас на сервере vless+reality, не нужно даже вклиниваться в трафик, его может найти любой на censys search, я нашел там два сервера с nltimes (https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=services.tls.certificate.parsed.subject.common_name%3Anltimes.nl): первый сервер на royale hosting/servers guru (там очевидно стоит vless+reality т.к. дополнительно имеется зеркало на google), второй сервер на google cloud. если они не авторские, то возможно его еще не заиндексировался.
"Приколы с MTU": никаких приколов с MTU тут быть не может, vless это не VPN, это tcp прокси (как socks5, только зашифрован)